互联网企业信息安全建设:应对安全威胁与合规监管的三级等保策略
互联网企业迅猛发展,自身核心业务安全性不断提升,行业监管力度也在不断加强。面对与日俱增的内部需求和外部驱动,本文对互联网企业面临的安全威胁及合规监管进行了分析,同时也研究了业内现有的针对该行业的安全建设内容。接着,提出了基于三级等保的互联网企业信息安全建设思路,旨在从整体上发现并解决互联网行业的安全问题。黑客重点攻击的行业目标
互联网企业作为一种新生事物,是从民营企业起步的。很多小平台的风险意识比较淡薄,它们将关注的重点放在了扩大客户规模以及赚取利润上。同时,技术防护方面严重缺失,并且出于成本方面的考虑,大多数企业都采用了廉价的开源系统,而这些系统存在着大量的风险漏洞,安全性得不到保障,企业的数据安全处于十分危险的境地。那么知名大企业的情况又是怎样的呢?互联网技术在发展,黑客技术随之升级。企业投入大量财力和人力研发的系统,存在着不可预知的问题。所以,企业不可避免地会遭受黑客的恶意攻击。近年来,知名大企业数据泄露事件频繁发生,且数量逐年增多。
调查统计显示,黑客攻击互联网企业平台的目的主要是窃取数据,其占比达到了 48%。其次,黑客的目的还有敲诈勒索和进行商业竞争。
黑客攻陷大批互联网企业平台,导致系统瘫痪。他们能恶意修改数据,将数据洗劫一空。同时,黑客还可能通过申请账号、篡改数据、冒充投资人来进行恶意提现,甚至盗取资金。
企业数据发生泄露,带来的后果不仅仅是业务方面的巨大损失。更为关键的是,会导致信誉的丧失。对于互联网企业来说,其门户网站是信誉展示的首要平台。倘若因为网站信息泄露、宕机或者页面被篡改等原因,使得用户对其失去信任,那么这个平台就会丧失自身的信誉,就如同无源之水一般。
因此,互联网企业如何有效保护信息安全,事关企业生死存亡。
国家信息安全的基本保障制度
https://img0.baidu.com/it/u=1304738909,2047722464&fm=253&fmt=JPEG&app=120&f=JPEG?w=892&h=500
互联网行业依托于互联网,其核心业务需由 IT 系统来支撑,所以安全至关重要。等级保护是国家在 Cyber 空间安全方面推行的强制保护制度,其最终目的在于保护信息系统和基础信息网络免受侵害,同时保护用户的业务数据和系统的服务功能。
1994 年国务院颁布了《中华人民共和国计算机信息系统安全保护条例》(147 号令)。今年(2016 年)10 月份在昆明举办了第五届全国信息安全等级保护技术大会,该大会由公安部网络安全保卫局、中央网信办网络安全协调局、工信部网络安全管理局、国家密码管理局、国家保密局、中国科学院办公厅为指导单位,由公安部第三研究所主办。从 1994 年开始到 2016 年 10 月举办大会为止,等级保护这一国家政策已走过逾 20 年。等级保护不仅对信息安全产品或系统进行检测、评估和定级,更重要的是,它是围绕信息安全保障全过程的一项基础性国家管理制度,是一项基础性和制度性的工作。
要帮助互联网企业有效防范网络入侵、网络拒绝服务攻击以及网络非法监听等恶意网络行为,就需要了解相应的合规要求。国家等级保护标准中关于网络安全方面的要求很重要,尤其是对网络安全管理、访问控制、入侵防范、网络设备防护、安全审计的相关条款,对于与网络紧密相连的互联网企业而言,具有十分重要的意义。
互联网企业的等级保护解决方案
国家信息安全等级保护有相关标准。互联网企业通常会借助第三方测评机构或者安全厂商,按照以下流程来进行等保建设:
2. 针对管理方面的要求开展相关工作。
保障网络周边环境以及物理特性,以确保网络设备和线路能够持续使用。
保障网络传输的安全,要特别注重保障网络边界的安全以及外部接入的安全。
https://img0.baidu.com/it/u=2302495501,3540954398&fm=253&fmt=JPEG&app=120&f=PNG?w=697&h=500
保障操作系统的安全,保障数据库的安全,保障服务器的安全,保障用户终端的安全,以及保障相关商用产品的安全。
保障应用程序层对网络信息进行保密性的保护,保障网络信息的完整性,保障信源的真实鉴别。防止各种安全威胁,抵御各种攻击手段,在一定程度上弥补现有操作系统的安全风险,在一定程度上完善网络信息系统的安全风险。
保障数据的完整性,保障数据的保密性,进行数据的备份以及实现数据的恢复等。
依据国家有关信息安全等级保护的标准和规范要求,构建一套切实可行的安全管理体系,并且强化安全管理机制。
巨人背后的安全专家
绿盟科技是国内安全厂商的领军品牌,在针对互联网企业的信息安全等级保护建设方面当仁不让。它基于对信息安全的深刻理解,以构建“等级化的安全体系”为服务理念,为互联网客户信息系统服务。其目的是根据等级保护不同等级和不同阶段的业务特性、安全需求及安全应用重点,在等级保护的框架下,为互联网客户构建一个安全、可靠、灵活且可持续改进的信息安全体系。
绿盟科技伴您扬帆远航
互联网行业的三级安全等保技术要求,一方面与其它行业的要求存在共性;另一方面又有自身的特点。
三级等保对于互联网企业而言,既是一场命题考试,也是一个能够切实提升企业安全能力的好时机。等保技术要求的主要部分是网络安全,它由于具有分散、覆盖面广以及难以管理的特点,所以也是整个等保安全的难点所在。绿盟科技从多个维度进行覆盖,包括网络与安全融合、终端与边界融合、集中与分级融合等。它覆盖了诸多技术要求,如结构安全、访问控制、安全审计、边界完整性、入侵防范、恶意代码入侵和设备防护等。并且为互联网客户提供了完整的三级等保解决方案。
页:
[1]